由安恒信息主办的一年一度的西湖论剑再次召开，与以往有所不同的是，此次西湖论剑还是阿里云栖大会中的安全峰会，意味着安恒占据着阿里云安全生态圈的重要位置。

本次的西湖论剑分两天进行，一个主论坛和两个分论坛，由于时间及精力的原因，牛君只精选了三个重要议题给大家分享。等级保护、G20安保、态势感知和云安全是其中的关键词。

一、公安部网络安全保卫局的重点工作

牛君在不同的场合中，曾多次听到公安部十一局总工程师郭启全的精彩演讲，一直想把有价值的重要内容整理出来给业内共享，本次终于如愿以偿。

郭总工首先总结了公安部十一局近年来网络安全重点工作的开展情况：

1. 信息安全等级保护制度的推进

庞大复杂的等保工作体系包括了政策研究、建立培训系统、制定标准、出台技术和测评要求、开展等保体系建设、加强对安全企业及产品的管理等。

“截至目前，已向社会推荐了150余家测评机构，培养了5000名测评师，成立了中关村信息安全测评联盟。”

此外，郭总还向与会听众透露，云计算等级保护标准很快就会推出，并当场感谢了参与标准编制机构和企业。

参加标准编制的单位有：

• 主管部门：国家能源局；
• 研究机构：公安三所、公安一所、国家信息中心、信工所、浙江中控研究院、电子六所；
• 高等院校：北京航空航天大学、北京理工大学、北京大学、浙江大学、华北电力大学、北京工业大学；
• 企业：华三通信、曙光公司、华为公司、启明星辰、阿里云、网神/360、北京鼎普、天融信。

2. 网络安全信息通报机制的建设

以国家网络与信息安全信息通报中心为核心，83个部委、117家央企为成员，以院士为组长的政府通报机制专家组、央企通报机制专家组和秘书处、5家信息支撑单位、71家技术支撑单位。建立起覆盖部省市三级、200个重要行业、横纵通畅的立体化全国网络安全监测预警通报处置体系。

3. 开展网络安全工作大检查

在介绍这部分内容时，郭总呼吁改变被动式检查和形式化检查的现状。

“开会是重要，发文也重要，但最终要的是落实，落实中央精神和上级要求，这才是检查的目的！”

4. 国家重要信息系统的保障

公信安[2014]2182号文。

5. 对地方党委政府网络安全保障工作的考核

6. 智慧城市的安全建设和管理

中网办[2015]9号文。

7. 网站安全专项整治行动

公信安[2015]2562号文。

8. 对网络攻击违法活动的专项打击

清理僵尸网络计算机7100余台，恶意移动应用3.6万，删除网站后门、恶意链接3万个，关闭网站、栏目、通讯群组1587个。

9. 圆满完成G20网络安保工作

第二个部分是对重大事件、重大活动的思考和启示：

1. 徐玉玉案件

谈到此起案件，郭总满腔怒火的斥责忽略网络安全的责任方：

“难道非得等到诈骗完，出了人命，有关机关才给予重视？！才去补漏洞？说的都好听，唱的也不错，但缺乏的是落实。不能只喊口号不办实事！”

国家不缺少网络安全制度、政策、规范，不缺少网络安全技术标准，不缺少智慧和办法，缺少的是重要行业部门实实在在抓落实！

2. G20峰会的启示

中央、部、省领导的高度重视，是圆满完成重大活动网络安保任务的根本保障。多轮次交叉检测、渗透攻击测试，排查整改漏洞隐患，加强演练，是安保成功的基础。

必须按照“打防管控”一体化方法，由公安机关牵头，会同有关部门落实各项任务。必须建立扁平化指挥、一体化作战的机制，只有打合成仗，才能确保安全。

公安、工信、重要行业部门、三大运营商、CNCERT、CNNIC、6大直播网站、4大CDN、专家组、技术队伍等一体化作业，才能有效处置网络安全突发事件。

“没有9·3阅兵、G20峰会、乌镇互联网大会等实战的检验，队伍作战能力如何能提高？安全保障制度何以顺畅？！”

最后是开展网络安全工作的对策和措施：

1. 构建“打防管控”一体化的网络安全综合防控体系

“这些都是最重要的研究成果，是干出来的，不是说出来的。”

2. 全面深入落实国家网络安全等级保护制度

将风险评估、安全监测、通报预警、案件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施。

将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护监管对象。

将大型互联网企业纳入等级保护管理，保护互联网企业健康发展。

3. 全面开展信息通报预警工作

4. 坚决打击网络攻击等违法犯罪活动

5. 建立国家重大活动网络安保一体化指挥体系和机制

6. 建设关键信息基础设施安全防护管理平台

建设思路是“以动制动，变静态防护为动态防护；变被动防御为主动防御；变多个单点防护为综合防控、整体防范。建设集态势感知、风险监测、通报预警、应急处置、情报信息、安全防范于一体的网络安全综合防控体系。”

建设方法是“利用云计算、大数据技术进行建设，关联分析、数据挖掘、应用、展示平台。”这个平台应具备“态势感知、情报信息、实时监测、等级保护、通报预警、快速处置、追踪溯源、监督管理”等主要功能。

7. 提高网络安全综合防御能力

依托上面的关键信息基础设施安全防护管理平台，实现主动防御、监测发现、通报预警、快速处置、情报信息、监督管理、态势感知等7大能力。

8. 加强保护策略和技术创新

7大技术创新：安全防范、侦查打击、通报预警、应急处置、安全产品、网络攻防、网络安全管理。

仅靠打击、处置是不够的，必须要技术创新！

二、大数据看G20峰会安保工作

G20峰会的顺利进行，离不开众多安全企业的全力支持及技术支撑，安恒信息CSO刘志乐以安恒风暴中心的大数据为基础，从多种维度展示了G20峰会上的网络态势及攻防状况。

1. G20关注度

在10大关注度国家排名中，来自美国的对G20网络的访问量最大，其次是俄罗斯、法国、荷兰、德国、英国、印度、菲律宾、日本、乌克兰。

在访问设备占比中，82.97%的访问使用的是PC，其中91.65%的操作系统为Windows。移动端占17.3%，其中64.9%的系统为安卓，35.1%为苹果。

2. 攻击态势

G20官网，G20/B20注册网自上线服务以来共受到3300万次攻击。其中9月1日至5日会议期间共受到362万次攻击，攻击来源国家41个。前5名分别为，美国、俄罗斯、印度、德国和日本。

攻击行为分布

3. 基于大数据的态势感知技术

刘志乐认为，大数据正在改变着人们的生产生活，并从三大方面驱动着信息安全行业的变革。

• 传统的策略驱动安全变为数据驱动安全
• 被动防御机制变为持续监测预警的主动防御机制
• 对网络安全态势的未知变为先知

态势感知，是指在特定时空下，对动态环境中各元素或对象的觉察、理解以及对未来的预测。

态势的感知的过程由三个级别构成，一是觉察，通过网络安全设备、蜜罐捕获、漏洞扫描等技术和相关日志，实现对漏洞的检测和攻击事件的发现。二是理解，通过安全态势模型、大数据统计、机器学习和数据挖掘实现对威胁的检测。三是应用，包括意图识别、因果分析、概率统计和行为侧写等对威胁的评估。

安恒的态势感知平台，围绕着风暴中心提供的大数据，为本次G20网络安保提供通知、监测、防护和分析四大类服务。

其中，“先知”通过对杭州16个主要区域设置备案站点服务的监控，提供基础数据捕获与安全监测服务。“玄武盾”通过对流量的牵引和清洗，配合威胁情报提供事中的云端监测和防护服务。“飞天镜”则通过日志消息、日志文件及离线文件等数据，进行事后的大数据分析，并形成基础信息及威胁情报库。

威胁情报基础数据库
全球IP、域名基础库
全球IP、域名信誉库
病毒、木马特征库
网络空间基础设施库
黑客攻击特征情报库
第三方协同情报库
全球基础漏洞库
大数据威胁模型库

自2015年12月1日，G20官网开放以来，安恒态势感知的三大平台为G20官网提供正常访问次数2亿+，拦截攻击次数300万+。为G20注册网拦截非法访问2900万+，抵御直接攻击112万+。另外，B20注册网站自今年7月以来，提供正常访问22.5万余次，拦截攻击8.7万余次。

三、DT时代的云计算安全

阿里云安全资深总监肖力的演讲简明扼要。

1. 两个问题

问：以传统安全方案应对最新网络威胁已经是螳臂当车，问题出在哪里？
答：缺乏安全感知，反击能力薄弱，基础设施防护欠佳，安全人才稀少。

问：据普华永道的调查，69%的企业正在使用基于云的安全服务，云安全服务的优势在哪里？
答：更高安全等级保护+增强威胁情报+更快的事件响应。

2. 阿里云的多层防御体系

阿里云的云安全团队，保护着全中国37%的网站，每天防御8亿次攻击、识别3.5万个恶意IP、防御2000次DDoS攻击。做好这种世界级别的防护，一套全链路产品和服务的防护体系不可或缺。

阿里云安全防护体系包括：

链路安全

• 高速通道
• 证书服务
• VPC

安全储存

• 密钥管理KMS
• 加密服务

身份授权

• 访问控制RAM

日志审计

• 操作审计
• Action Tiail

安全防御

• DDoS防护
• WAF
• 态势感知
• 安骑士

容灾备份

• 两地三中心
• 异地多活

3. 阿里云安全生态

包括6大类安全服务，79家厂商和168款安全产品。

4. G20安保

阿里云安全在G20期间，为164万云平台网站自动防御并拦截攻击247亿次，为1.3万云上政府网站封禁3.06万个恶意IP，为230个浙江省政务云提供最高安全等级的安全保障服务，并实现零中断和零安全事件。

5. 阿里云的威胁情报能力及大数据机器学习的应用

阿里云的威胁情报库目前掌握1000个全球僵尸网络中控、监控全互联网50万以上活跃恶意IP、100万后门样本文件，在这些数据资源的基础上，通过大数据机器学习技术来实现协同防御、攻击预测、黑客溯源和漏洞修复，并为WAF、后门检测、恶意网站检测、恶意IP识别及内容安全提供支撑。

安全的进化将从传统的样本、特征、规则，走向未来的机器学习、人工智能、威胁情报和行为预测。